Data breach e GDPR, breve analisi normativa

Nel corso degli ultimi anni il tema legato alla violazione dei dati personali (o “data breach”) è stato oggetto di un interesse crescente che, dapprima limitato ai soli esperti in materia e alle rubriche specializzate, ha di recente attecchito anche all’interno dell’informazione quotidiana e generica. Traspare quindi la necessità di fare chiarezza in merito al substrato normativo in materia, analizzando le disposizioni presenti all’interno del Regolamento UE n. 679/2016 (“GDPR” o “Regolamento”) e soffermandosi, brevemente, sulle Linee Guida dettate sul punto dal “Gruppo di Lavoro Articolo 29 per la Protezione dei Dati (WP29)” (in seguito le “Linee Guida”).

Per quanto nell’immaginario comune si tenda a far coincidere un data breach con una sottrazione di dati personali altrui, il GDPR, all’articolo 4, n. 12, fornisce un’espressa definizione di “violazione dei dati personali”, intendendola come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Si tratta quindi di fattispecie ampia che, di conseguenza, comporta la necessità di una costante attenzione e una piena consapevolezza da parte dei titolari del trattamento di dati personali.

Una volta verificatasi una delle suesposte ipotesi di violazione è importante che quest’ultima venga affrontata e gestita con tempestività, al fine di evitare l’insorgenza o l’aggravamento di danni materiali o immateriali alle persone fisiche. Non a caso il Regolamento prevede che, al ricorrere di determinate circostanze, la violazione subita debba essere oggetto di notificazione (da compiersi entro 72 ore dalla scoperta) alla competente Autorità di Controllo e di comunicazione all’interessato coinvolto. In particolare, ai sensi del GDPR, il succitato obbligo di notifica all’Autorità sussiste ogni qualvolta in cui non risulti improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Si aggiunga che, qualora la notifica non sia effettuata entro il prescritto termine di 72 ore, questa andrà necessariamente corredata dei motivi che hanno comportato il ritardo.

Traspare quindi come non sussista un obbligo di notifica tout court, bensì calibrato alle circostanze proprie del caso di specie. Il medesimo principio permea altresì l’onere di comunicazione della violazione all’interessato, sul punto il Regolamento prevede, infatti, che si possa parlare di obbligo solo “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 34, par. 1, GDPR). Ad ogni modo, nel caso in cui lo ritenesse opportuno, la competente Autorità di Controllo può ordinare al titolare del trattamento di informare le persone fisiche interessate dalla violazione. La comunicazione in esame descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali verificatasi e contiene almeno le seguenti informazioni: i) il nome e i dati di contatto del DPO o di altro punto di contatto presso cui ottenere ulteriori informazioni; ii) le probabili conseguenze ricollegabili alla violazione; iii) le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione o per attenuarne i possibili effetti negativi.

Da quanto sinora argomentato, emerge chiaramente come, per i titolari del trattamento, risulti di fondamentale importanza una corretta individuazione dei profili di rischio connessi alla violazione, al fine di determinare se sorga o meno un obbligo di notifica. Sul punto offrono un importante sostegno le Linee Guida adottate dal WP29 (“WP250”) che, oltre a fornire esempi di una pluralità di violazioni corredandoli dei diversi scenari in ambito di notifica, rimandano espressamente alle valutazioni dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA), la quale ha elaborato raccomandazioni in merito a una metodologia di valutazione della gravità di una violazione, che possono essere utili per i titolari del trattamento e i responsabili del trattamento nella progettazione del loro piano di risposta per la gestione delle violazioni[1].

Da ultimo occorre un breve accenno al quadro sanzionatorio prescritto in materia di data breach all’interno del GDPR, rilevando che la violazione degli obblighi del titolare del trattamento e del responsabile del trattamento previsti dagli artt. 33 («notificazione all’Autorità di Controllo») e 34 («notificazione agli interessati») del Regolamento può comportare sanzioni pecuniarie fino a euro 10.000.000,00, o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

A conclusione del presente breve spaccato normativo, non può che rilevarsi come la corretta gestione di un “data breach” richieda competenze specifiche che, in particolare, verranno messe in campo per la corretta individuazione della violazione in questione; per la determinazione del connesso profilo di rischio per i diritti e le libertà delle persone fisiche (mediante l’utilizzo di un’appropriata metodologia per catalogare la gravità della violazione subita) ed infine per una ponderata valutazione in merito alla sussistenza o meno degli obblighi di notifica e di comunicazione di cui, rispettivamente, agli articoli 33 e 34 del GDPR.

[1] In particolare l’ENISA ha dettato una serie di criteri volti alla corretta individuazione della gravità connessa alla violazione subita, per un approfondimento sul punto si rimanda alle “Recommendations for a methodology of the assessment of severity of personal data breaches” consutabili, in lingua inglese, al seguente link “https://www.enisa.europa.eu/publications/dbn-severity”.